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In a system for conducting transactions with a 
multifunctional card having an integrated circuit, 
the circuit contains a bank application associated 
with the user's account-keeping bank and at least 
one purse application associated with a services 
supplier or manufacturer. With the aid of an 
apparatus communicating with the card, the card 
user can load a selectable sum of money into the 
purse application. The purse supplier is provided 
with a transaction certificate about the sum 
loaded in the purse and to be credited to the 
purse supplier's account, without a need for 
storing the secret data necessary for preparing 
this certificate in the purse application or in the 
purse terminal. 
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© System zur Durchfuhrung von Transaktionen mit einer Multifunktionskarte mit elektronischer Borse 

(57) Bet einem System zur Durchfuhrung von Transaktionen 
mit einer Multifunktionskarte mit integriertem Schaltkreis 
e nth a It der Schaltkreis eine der kontofuhrenden Bank des 
Benutzers zugeordnete Bankanwendung und wenigstens 
eine einem Dienstleistungsanbieter oder Hersteller zugeord- 
nete Borsenanwendung. Mit Hilfe einer mh der Karte 
kommunizierenden Vorrichtung kann der Kartenbenutzer 
einen wahlbaren Geldbetrag in die Borsenanwendung laden. 
Dem Borsenanbieter wird ein authentisches Zertifikat uber 
den in die Borse getadenen und dem Konto des Borsenan- 
bieters gutzuschreibenden Betrag zur Verfugung gestellt, 
ohne da& die. zur Erstetlung dieses Zerttfikats notwendigen 
geheimen Daten in der Borsenanwendung bzw. im Borsen- 
terminal gespeichert sein mussen. 
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Beschreibung 

Die Erfindung betrifft ein System gemaB dem Ober- 
begriff des Hauptanspruchs. 

Allgemein bekannt sind Karten, wie z. B. ec- Karten, 
Kxeditkarten oder Telefonkanen mit integriertem 
Schaltkreis, die dem Benutzer fur unterschiedliche 
Transaktionen zur Verfugung stehen. Die ec-Kanen 
bzw. die Kxeditkarten werden in zunehmendem MaB 
auch dazu verwendet, bargeldlose Transaktionen vom 
benutzereigenen Bankkonto auf ein beliebiges anderes 
Bankkonto zu veranlassen. Es handelt sich dabei im all- 
gemeinen um Dienstleistungsanbieter oder Handler, die 
iiber ein entsprechendes Terminal verfiigen, das der 
Kanenbenutzer zur Durchfuhrung der Transaktionen 
benutzt 

Eine weitere Art der bargeldlosen Bezahluhg bietet 
die sogenannte elektronische Borse. Um die Borse zu 
aktivieren, leistet der Kartenbenutzer eine Vorabzah- 
lung an den Borsenanbieter und erhalt dafiir eine ent- 
sprechende Anzahl von Werteinheiten, die in der elek- 
tronischen Borse gespeichert werden. Bei jeder Inan- 
spruchnahme einer Leistung wird die Borse um einen 
entsprechenden Betrag vermindert. 

Aufgrund der zunehmenden Leistungsfahigkeit der in 
Karten eingesetzten integrierten Schakkreise verstar- 
ken sich die Bestrebungen, sogenannte Multifunktions- 
karten vorzuschlagen, die es dem Benutzer erlauben, 
mit einer einzigen Kane die genannten Transaktionsar- 
ten (Bankanwendung, Borsenanwendung) zu nutzen. 

Eine solche Multifunktionskarte hat im allgemeinen 
eine der kontofiihrenden Bank des Benutzers zugeord- 
nete Bankanwendung und wenigstens eine einem 
Dienstanbieter oder Handler zugeordnete Borsenan- 
wendung. 

Aus der EPOS 058 029 ist eine Multifunktionskarte 
mit Borsenfunktion bekannt. Die hier verwendete Mul- 
tifunktionskarte unterscheidet mehrere Bankbereiche, 
einen Kreditkanenbereich und einen Borsenbereich. 
Dem Benutzer ist es mit Hilfe einer personlichen Identi- 
fikationsnummer (PIN) moglich, zu einem Bank- bzw. 
Kreditkartenbereich Zugang zu erhalten. Der Benutzer 
kann nun aus diesem Bereich einen bestimmten Geldbe- 
trag in den Borsenbereich umladen und diesen Betrag 
dann ohne PIN-Eingabe zur Inanspruchnahme von 
Dienstleistungen oder Waren nutzen. 

Die EP-OS 058 029 enthalt keinerlei Angaben dar- 
iiber, wie der Ladevorgang gegen betrugerische Mani- 
pulationen gesichert ist 

Der Ladevorgang einer Borse wird im allgemeinen 
uber eine im Verantwortungsbereich des Borsenanbie- 
ters liegende Vorrichtung (Terminal) abgewickelt Da- 
bei ist die im Verantwortungsbereich der Bank liegende 
Bankanwendung der Kane zwangslaufig in den Lade- 
prozeB einbezogen. Eine Kommunikation zwischen den 
in unterschiedlichen Verantwonungsbereichen liegen- 
den Komponenien des Systems iit somit erforderiich. so 
daB es im Interesse aller am System beteiligten Institu- 
tionen notwendig ist, den gesamten Vorgang fal- 
schungssicher zu gestalten und zu gewahrleisten, daB 
die lntegritat der in den einzelnen Komponenten des 
Systems notwendigen Geheiminformationen gewahrt 
bleibt. 

Die Aufgabe der Erfindung besteht deshalb darin, ein 
System vorzuschlagen, das den obengenannten Proble- 
men gerecht wird. 

Die Aufgabe der Erfindung wird durch die im kenn- 
zeichnenden Teil des Hauptanspruchs angegebenen 
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MerkmalegeldsL 

Das Wesentliche der Erfindung besteht darin, dem 
Borsenanbieter ein authentisches Zenifikat iiber den in 
die Borse zu ladenden und dem Konto des Borsenanbie- 
5 ters gutzuschreibenden Betrag zur VerfOgung zu stel- 
len, ohne daB die zur Erstellung dieses Zertifikats not- 
wendigen geheimen Daten in der Bdrsenanwendung 
bzw. im Borsenterminal gespeichen sein mussen. 

Dazu wird in einem ersten Schritt des Umbuchungs- 
10 vorgangs in der Bankanwendung uber den vom Kunden 
gewahlten Betrag und weiterer Transaktibnsdaten mit 
nur in der Bankanwendung gespeichenen geheimen 
Daten ein Zfirtifikat-erstelluxlas dann innerhalh des inte- 
grienen Schaltkreises an die Borsenanwendung iiber- 
15 tragen wird. In der Borsenanwendung wird zu diesem 
Transaktionszertifikat ein Authentisierungscode er- 
rechnet mit geheimen Daten, die ausschlieBlich in der 
Borsenanwendung bzw. im Terminal gespeichert sind. 
Transaktionszenifikat und Authentisierungscode wer- 
20 den zum Terminal iibenragen und in diesem verifiziert. 
Ist der Vergleich positiv, so kann seitens des Borsenter- 
minals davon ausgegangen werden, daB die gesendeten 
Daten authentisch sind. 

In einem zweiten Schritt wird der Empfang echter 
25 Daten vom Borsenterminal dadurch bestatigt, daB die- 
ses einen weiteren Authentisierungscode iiber die emp- 
fangenen Daten erstellt und an die Borsenanwendung 
zuriicksendet. In der Borsenanwendung wird dieser 
zweite Authentisierungscode verifiziert. Ist der Ver- 
30 gleich positiv, kann seitens der Borsenanwendung da- 
von ausgegangen werden, daB das Terminal ein echtes 
Transaktionszertifikat erhalten hat. Erst nach diesem 
Vergleich wird der vom Benutzer vorgewahlte Betrag 
endgiiltig in den Borsenspeicher der Borsenanwendung 
35 iibenragen. Die Umbuchung ist damit abgeschlossen. 
Der VoneH der Erfindung besteht darin, daB die lnte- 
gritat der Geheimdaten der am System beteiligten Insti- 
tutionen gewahn bleibt Bei der Implementierung meh- 
rerer Borsenanwendungen in eine Multifunktionskane 
40 sind keine gemeinsamen Schlussel notwendig, um Betra- 
ge von der Bankanwendung in eine Borsenanwendung 
umzubuchen. Die einzelnen Borsen sind vollig unabhan- 
gig voneinander und arbeiten stets mit ihren eigenen 
Schlusseln. Das Verfahren stellt sicher, daB das Bdrsen- 
45 terminal ein Transaktionszenifikat erhalt und dieses 
auch giiltig ist. Erst nach einer entsprechenden Ober- 
prufung wird der vom Benutzer gewahhe Betrag in die 
Borse geladen. Mit dem Verfahren wird gleichzeitig si- 
chergestellt, daB sowohl Terminal als auch Kane au- 
50 thentisch sind. 

Vorzugsweise wird in der Bankanwendung vor der 
Erstellung des Transaktionszertifikats gepruft, ob der 
vom Kartenbenutzer gewahhe Betrag kleiner ist als der 
in einem sogenannten Verfiigungsrahmen gespeicherte 
55 Betrag. Der jeweils aktueile Wert des Verfugungsrah- 
mens stellt die Obergrenze des nutzbaren Geldbetrages 
dar. Ist der Verfugungsrahmen verbraucht, sind keine 
weiteren Umbuchungen in eine Borse moglich. Der Ver- 
fiigungsrahmen kann nur durch eine durch vorherige 
60 PIN-Eingabe mogliche Transaktion mit der kontofiih- 
renden Bank des Kartenbenutzers wieder geladen wer- 
den. Diese MaBnahmen bewahren den Kartenbenutzer 
bei Verlust der Kane davor, daB zu groBe Betrage miB- 
brauchlich in die Borse umgebucht werden, solange die 
65 Borsenfunktion ohne vorherige PIN-Priifung aktivier- 
bar ist. 

GemaB einer Weiterbildung der Erfindung wird vor- 
geschlagen, in der Bankanwendung einen globalen 
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Transaktionszahler vorzusehen, der alle Qber die Bank- 
anwendung laufenden Transaktionen zahlt Ein entspre- 
chender Zahler ist fur die Borsenanwendung vorgese- 
hen. Nach jedem Umbuchungsvorgang von der Bankan- 
wendung in die Bdrsenanwendung wird der Zahlerstand 
des Transaktionszahlers in der Bankanwendung in den 
Zahlerstand des Transaktionszahlers in der Bdrsenan- 
wendung ubertragen. Eine Umbuchung ist nur moglich, 
wenn der Zahlerstand des Transaktionszahlers in der 
Bankanwendung groBer ist als der in der Borsenanwen- 
dung. Diese MaBnahme hat den Vorteil, daB bei einer 
gestohlenen Kane nur maximal eine Umbuchung vor- 
genommen werden kann, da ein zweiter Versuch wegen 
der Gleichheit der dann vorliegenden Zahlerstande ab- 
gebrochen wird Nur durch eine Transaktion mit der 
kontofuhrenden Bank, die eine PIN-Eingabe voraus- 
setzt, wird der Transaktionszahler in der Bankanwen- 
dung erhoht, womit eine weitere Umbuchung freigege- 
ben wird Bei einer Karte mit mehreren Borsenanwen- 
dungen ist ein alien Borsen gemeinsamer Zahler vorge- 
sehen. 

Weitere Vorteile sowie Weiterbildungen der Erfin- 
dung sind Gegenstand der Unteranspriiche sowie der 
nachfolgenden Beschreibung einer Ausfuhrungsform 
der Erfindung, die anhand der Zeichnung beispielsweise 
beschrieben wird Darin zeigen: 

Fig. 1 eine schematische Darstellung des Informa- 
tionsflusses zwischen den einzelnen Komponenten, 

Fig. 2 ein Ablaufdiagramm des Urnbuchvorgangs, 

Fig. 3 ein Ablaufdiagramm des Bestatigungsvorgan- 
ges. 

Die Fig. 1 zeigt in einer beispielhaften Ausfuhrungs- 
form die wesentlichen Komponenten des erfindungsge- 
maBen Systems. Es besteht aus einer Multifunktionskar- 
te 1 (MF) und einem Terminal 5 mit einer Schnittstelle 6 
zur Kommunikation mit anderen Einheiten sowie einer 
Tastatur 7. Die Multifunktionskarte ist in drei Bereiche, 
den Bankbereich 2, den Borsenbereich 3 und den Sy- 
stembereich 4 aufgeteilt. Auf den Bank- bzw. Borsenbe- 
reich konnen jeweils nur die dazu authorisierten Anbie- 
ter zugreifen. Der Systembereich enthalt unter anderem 
allgemeine Daten, die von mehreren Anwendern ge- 
nutzt werden konnen. 1m folgenden soli nur auf die in 
den einzelnen Bereichen gespeicherten Daten und Vor- 
gange bzw. Programme eingegangen werden, die zum 
Verstandnis der Erfindung notwendig sind 

Der in der Bankanwendung 2 gespeicherte Schlussel 
SBank dient zusammen mit einem geeigneten Algorith- 
mus zur Berechnung des bankspezifischen Zertifikats. 
Der Schlussel ist nur der Bank bekannt bzw. nur in der 
Bankanwendung gespeichert. Ferner ist in der Bankan- 
wendung ein sogenannter Verfugungsrahmen VR ge- 
speichert, der den maximal vom Benutzer verfugbaren 
Betrag festlegt. Der Verfugungsrahmen ist also einem 
Betragslimit gleichzusetzen, uber das der Benutzer ohne 
einen Authorisierungsvorgang mit der kontofuhrenden 
Bank verfiigen kann. Ein aufgebrauchter Verfugungs- 
rahmen kann nur durch einen PIN-gekoppelten und 
durch die kontofuhrende Bank authorisierten ProzeB 
initialisiert werden. Die in der Anwendung noch gespei- 
cherte Kontonummer PAN und die Bankleitzahl BLZ 
dienen zur Identifikation des Benutzers gegenuber der 
Bank. Auf den in der Bankanwendung noch vorgesehe- 
nen Transaktionszahler GTZ wird spater noch einge- 
gangen. 

lm Borsenbereich der Karte sind in der hier geschil- 
derten beispielhaften Ausfuhrungsform zwei Schlussel 
SBdrse und S&6ne gespeichert, die der Authentisierung 
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der Vorgange zwischen der Bdrsenanwendung und dem 
Terminal dienen. Diese Schlussel werden vom Bdrsen- 
anwender ausgewahlt bzw. von sogenannten Grund- 
schltisseln abgeleitet und sind nur dem Bdrsenanwender 
5 bekannt. Ferner enthalt die Borsenanwendung wenig- 
stens zwei Speicher BSRAM und BSS. Der RAM-Spei- 
cher dient zur voriibergehenden Speicherung des vom 
Benutzer fur eine Umbuchung vorgesehenen Betrags. 
Erst nach AbschluB aller Authentisierungsvorgange 
io wird dieser Betrag in den Bdrsenspeicher transferiert. 
SchlieBlich enthalt die Bdrsenanwendung einen Gene- 
rator zur Erzeugung von Zufaliszahlen RND. 

Entsprechend der Borsenanwendung sind auch im 
Terminal die Borsenschlussel SBarse und SBdrse gespei- 
15 chert. Zur Identifikation des Borsen terminals ist eine 
Terminal-ldentifikationsnummer TID vorgesehen. Eine 
Terminal-Transaktionsnummer TTA wird bei jeder Bu- 
chung inkrementiert, so daB damit jeder Buchungsvor- 
gang individualisiert wird Der vom Benutzer uber die 
20 Tastatur 7 eingegebene Geld- bzw. Transaktionsbetrag 
TB wird im Terminal zur weiteren Verarbeitung zwi- 
schengespeichert. 

Der eigentliche Umbuchungsvorgang setzt sich aus 
zwei Kommandos, dem Kommando TJmbuchen" und 
25 dem Kommando "Bestatigen" zusammen. Der Ablauf 
dieser Kommandos ist in der Fig. 1 anhand von Signal- 
verlaufen grob skizziert und soil im folgenden anhand 
der Fig. 2 und 3 ausfuhrlicher beschrieben werden. 
Die Fig. 2 zeigt ein Ablaufdiagramm des Kommandos 
30 Umbuchen". Das Terminal stellt zunachst einen Daten- 
satz DATrenn aus der von der Bdrsenanwendung der 
Karte angeforderten Zufallszahl RND, der Terminal- 
ldentifikationsnummer TID, der Terminal-Transak- 
tionsnummer TDA und dem Transaktionsbetrag TB zu* 
35 sammen. Durch die Verarbeitung einer Zufallszahl wird 
der Datensatz nicht vorhersehbar dynamisiert, was, wie 
an sich bekannt, gegen sogenannte replay- Angriffe 
schutzL Der Datensatz DATrenn wird nun mit Hilfe des 
Borsenschlussels SlBorse zur Erzeugung eines Echtheits- 
40 codes MACTerm verschlusselt. Der Datensatz DATTerm 
und der Echtheitscode MACTerm werden daraufhin in 
einem ersten Schritt des Umbuchungsvorgangs (siehe 
auch Fig. 1) an die Borsenanwendung ubertragen. Diese 
berechnet jetzt ihrerseits aus dem Datensatz mit Hilfe 
45 des Borsenschlussels SlB6r$e den Sicherheitscode 
MAC'Tcrm. Danach vergleicht die Borsenanwendung 
den errechneten Echtheitscode mit dem vom Terminal 
ubermittelten Echtheitscode. Fallt dieser Vergleich ne- 
gativ aus, wird hier, wie auch bei alien spateren Verglei- 
so chen, der Umbuchungsvorgang abgebrochen. Bei positi- 
yem Vergleich wird der Datensatz DATTerm an die 
Bankanwendung ubertragen. Hierbei handelt es sich 
zwar um einen anwendungsubergreifenden ProzeB, der 
jedoch ohne eine Absicherung durchgefuhrt werden 
55 kann, da er innerhalb des integrierten Schaltkreises 
durchgefuhrt wird Fur einen Falscher bestehen auf die- 
ser Ebene praktisch keine Zugriffsmoglichkeiten. 

In der Bankanwendung wird nun zunachst gepriift, ob 
der Transaktionsbetrag TB kleiner ist als der durch den 
60 Verfugungsrahmen VR definierte Betrag. Bei positivem 
Vergleich wird der Transaktionsbetrag TB vom Verfu- 
gungsrahmen VR abgezogen. Daraufhin wird in der 
Bankanwendung uberpruft, ob der Stand des globalen 
Transaktionszahlers GTZ groBer ist als der eines Bor- 
65 sentransaktionszahlers BTZ, der, wie aus der Fig. 1 er- 
sichtlich, im Systembereich der Multifunktionskarte ge- 
speichert ist (BTZ). Wie schon erwahnt. wird nach jedem 
Umbuchungsvorgang von der Bankanwendung in die 
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Borsenanwendung der Zahlerstand des globalen Trans- 
aktionszahlers GTZ in den Transaktionszahler der B6r- 
senanwendung BTZ ubertragen. Eine Umbuchung ist 
nur moglich, wenn der Zahlerstand des Zahlers GTZ 
grdBer ist als der des Zahlers BTZ. Diese MaBnahme 5 
bewirkt, daB bei einer gestohlenen Kane nur maximal 
eine Umbuchung vorgenommen werden kann. Nur 
durch eine Transaktion mit der kontofiihrenden Bank, 
die eine PIN-Eingabe voraussetzt, wird der Transak- 
tionszahler GTZ in der Bankanwendung erhoht, womit 10 
eine weitere Umbuchung freigegeben wird. Sollen mehr 
als eine Umbuchung nach einer Transaktion mit der 
kontofiihrenden Bank moglich sein, sind entsprechende 
Zahlerstinde der genannten Zahler GTZ und BTZ bei 
einem Vergleich zu berticksichtigen. 1 5 

Ergibt der Vergleich zwischen dem Transaktionszah- 
ler GTZ und dem Borsentransaktionszahler BTZ, daB 
eine Umbuchung moglich ist, wird der globale Transak- 
tionszahler GTZ inkrementiert und der aktuelle Zahler- 
stand des globaien Transaktionszahlers GTZ in den 20 
Borsentransaktionszahler BTZ ubertragen. Daraufhin 
wird in der Bankanwendung dem Datensatz DATTenn 
die Kontonummer PAN und die Bankleitzahl BLZ hin- 
zugefugt Mit Hilfe des Schlussels SBank wird aus dem 
Datensatz DATsank der Echtheitscode MACBank be- 25 
rechnet. Aus dem Datensatz DATBank und dem Echt- 
heitscode MACBank wird das Zertifikat ZFBank erstellt 
Dieses Zertifikat wird im dritten Schritt des Umbu- 
chungsvorgangs an die Borsenanwendung ubertragen. 

In der Borsenanwendung wird nun zunachst der 30 
Transaktionsbetrag TB in den RAM-Speicher BSRAM 
ubertragen. Daraufhin werden mit Hilfe der Schlussel 
SlB6rse und S2a6rse die Echtheitscodes MAClB6rse und 
MAC2B6rse aus dem Zertifikat ZFBank berechnet. 
SchlieBIich wird im vierten Schritt des Umbuchungsvor- 35 
gangs das Zertifikat ZFBank mit dem Echtheitscode 
MAClBdrse an das Terminal iibertragen. 

Das Terminal berechnet jetzt seinerseits mit Hilfe des 
Schlussels SlBdrse den Sicherheitscode MACl'Bdrse aus 
dem Zertifikat ZFBank und vergleicht die Echtheitscodes 40 
MAClBdrse und MACl'Bdrse. Ein positiver Vergleich be- 
deutet, daB das Zertifikat von einer authorisierten Bor- 
senanwendung an das Terminal ubertragen worden ist 
Damit ist der Vorgang des Kommandos TJmbuchen" 
abgeschlossen. 45 

Das Kommando "Bestatigen" wird, wie aus Fig. 3 er- 
sichtlich, dadurch eingeleitet, daB im Terminal mit Hilfe 
des Schlussels S2B$rse der Echtheitscode MAC2'B5rse 
aus dem Zertifikat ZFBank berechnet und an die Borsen- 
anwendung ubertragen wird. 50 

In der Borsenanwendung wird der hier gespeicherte 
Echtheitscode MAC2B*>rse mit dem gesendeten Echt- 
heitscode MAC2'B&rse verglichen. Bei positivem Ver- 
gleich wird der lnhalt des RAM-Speichers in den Bor- 
senspeicher BSS ubertragen. Aufgrund des positiven 55 
Vergleichs ist seitens der Borsenanwendung sicherge- 
stellt, daB das Terminal ein authentisches Bankzertifikat 
erhalten und verarbeitet hat. In einem letzten Schritt 
wird der RAM-Speicher geloscht und ein entsprechen- 
des Signal iiber den erfolgreich durchgefuhnen Umbu- 60 
chungsvorgang an das Terminal zuriickgesendet. 

Das Bankzertifikat ZFsank kann beispielsweise uber 
die Schnittstelle 6 an die entsprechende Bank ubertra- 
gen werden. Es ist auch moglich, mehrere Zertifikate im 
Terminal zu speichern und in bestimmten AbstSnden an 65 
die entsprechende Bank zu ubertragen. Die MaBnah- 
men zur Absicherung derartiger Obertragungen sind 
bekannt, so daB darauf an dieser Stelle nicht naher ein- 
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gegangen werden muB. Die Bank ist in der Lage, anhand 
des Bankschlflssels SBank das Zertifikat ZFBank auf Au- 
thentizitat zu prilfen, um dann bei entsprechend positi- 
vem Vergleich anhand der im Zertifikat ZFBank ubertra- 
genen Daten den entsprechenden Betrag vom Konto 
des Kartenbenutzers auf das Konto des Bdrsenanbie- 
ters zu uberweisen. 

Patentanspriiche 

1. System zur Durchfiihrung von Transaktionen mit 
einer Multifunktionskarte mit integriertem Schalt- 
kreis, der eine der kontofiihrenden Bank des Benut- 
zers zugeordnete Bankanwendung und wenigstens 
eine einem Dienstleistungsanbieter oder Handler 
zugeordnete Borsenanwendung enthalt und mit ei- 
ner Vorrichtung, uber die ein wahlbarer Geldbe- 
trag in die Borsenanwendung geladen werden 
kann, indem unter anderem den Geldbetrag enthal- 
tende Transaktionsdaten von der Vorrichtung an 
die Kane ubertragen und innerhalb des integrier- 
ten Schaltkreises der Kane von der Bankanwen- 
dung in die Bdrsenanwendung umgeladen wird, da- 
durch gekennzeichnet, daB 

— von den von der Vorrichtung ubertragenen 
Transaktionsdaten innerhalb der Bankanwen- 
dung ein Transaktionszertifikat unter Verwen- 
dung geheimer, nur der Bank bzw. in der Bank- 
anwendung gespeicherter Daten erstellt wird, 

— das Transaktionszertifikat in die Borsenan- 
wendung ubertragen wird und 

— der umzubuchende Geldbetrag erst dann in 
die Bdrsenanwendung geladen wird, wenn die 
Vorrichtung den Empfang des durch die Bor- 
senanwendung authentisierten Transaktions- 
zertifikats gegeniiber die Bdrsenanwendung 
bestatigt 

2. System nach Anspruch 1, dadurch gekennzeich- 
net, daB das von der Borsenanwendung zur Vor- 
richtung ubertragene Transaktionszertifikat sowie 
die Bestatigung der Vorrichtung uber den Erhalt 
des Transaktionszertifikats durch geheime Daten 
authentisiert wird, die nur dem Dienstleistungsan- 
bieter oder Handler bekannt und in der Borsenan- 
wendung sowie in der Vorrichtung gespeichert 
sind. 

3. System nach Anspruch 2, dadurch gekennzeich- 
net, daB zur Authentisierung des Transaktionszerti- 
fikats in der Borsenanwendung mit Hilfe eines er- 
sten Borsenschlussels ein Authentisierungscode be- 
rechnet wird, daB das Transaktionszertifikat und 
der Authentisierungscode zur Vorrichtung ubertra- 
gen werden und daB in der Vorrichtung der Au- 
thentisierungscode mit Hilfe des ersten Borsen- 
schlQssels verifiziert wird. 

4. System nach Anspruch 3, dadurch gekennzeich- 
net, daB in der Vorrichtung mit Hilfe eines zweiten 
Borsenschlussels aus dem Transaktionszertifikat ei- 
ne zweiter Authentisierungscode- be r e chn e t wird, 
daB dieser Authentisierungscode zur Borsenan- 
wendung ubertragen wird und daB der zweite Au- 
thentisierungscode in der Bdrsenanwendung verifi- 
ziert wird. 

5. System nach Anspruch 1, dadurch gekennzeich- 
net, daB vor der Obertragung der Transaktionsda- 
ten von der Vorrichtung an die Bdrsenanwendung 
in der Vorrichtung ein Authentisierungscode gebil- 
det wird, der gemeinsam mit den Transaktionsda- 
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ten an die Bdrsenanwendung ubertragen und in 
dieser verifiziert wird. 

6. System nach Anspruch 1, dadurch gekennzeich- 
net, daB vor der Bildung des Transaktionszertifi- 
kats in der Bankanwendung gepruft wird, ob der 5 
umzubuchende Geldbetrag innerhalb eines in der 
Bankanwendung definierten Verfugungsrahmens 
liegt. 

7. System nach Anspruch 1 oder 6, dadurch gekenn- 
zeichnet, daB vor der Bildung des Transaktionszer- 10 
tifikats in der Bankanwendung festgestellt wird, ob 
die Anzahl der mit der Karte durchgefuhrten Um- 
buchungen einen einstellbaren Wert uberschreitet 
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2.1 Known methods are based on the idea that debiting and crediting exchange functions operate 
independently of each other. The solution according to the invention is based on the object of combining 
the advantages of crediting exchange with the advantages of debiting exchange. 2.2 According to the 
invention, overwritable memory areas of a smart card are divided up into a memory area for crediting 
exchange functions and at least one memory area for debiting exchange functions. Using the application 
program of the smart card, together with the program of an authorization system, a cash sum from the 
crediting exchange is transferred, once or repeatedly in succession, into the debiting exchange. 2.3 By 
the solution according to the invention, the user of the service is able by means of just one multifunctional 
smart card to fill the debiting exchange of the smart card at any time from the credit afforded him in the 
crediting exchange. 
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